目次
1. なぜ演習環境が必要か?
SOCの仕事は「ログを見て攻撃を見抜く」ことが中心ですが、知識だけでは身につきません。
- 実際に手を動かしてログを分析する
- 攻撃と防御の両方を体験する
- 現場のツール(SIEM/EDR/SOAR)に触れる
これらを通じて初めて「実務で通用する目」が養われます。
2. おすすめ演習環境
(1) TryHackMe(Blue Team系ルーム)
- 特徴
- ハンズオンでSOC演習できるラボが豊富
- 「Blue Team Labs」「SOC Level 1」など実務に近いシナリオあり
- 例題
- SIEMログを分析して不審な認証を見つける
- フィッシングメールからIOCを抽出する
- 利点:初心者でも進めやすく、実際のSOCワークフローを疑似体験可能
(2) Blue Team Labs Online (BTLO)
- 特徴
- SOCアナリスト向けに特化した演習環境
- 実際のインシデントに近いシナリオを再現
- 事件対応フロー(監視 → 調査 → レポート)をトレーニング
- 演習例
- Windows Event Logsから不正ログインを発見
- EDRのプロセスツリーを解析しマルウェア感染を特定
- 利点:就職や案件応募の面接で「実際にやった」とアピールできる
(3) ELK Stack(Elasticsearch, Logstash, Kibana)
- 特徴
- OSSで自宅にSOCっぽい環境を構築可能
- SIEMの仕組みを理解するのに最適
- 練習方法
- Sysmon(Windowsの詳細ログ)を収集 → Kibanaで可視化
- IDS(Suricataなど)を組み合わせて攻撃検知を試す
- 利点:無料で試せて、SIEM構築スキルも習得できる
(4) Splunk Free / Splunk Fundamentals
- 特徴
- 実際に多くの企業SOCで利用されているSIEM
- Splunk Fundamentalsの無料教材あり
- 練習方法
- ApacheログやWindowsログをインポート
- SPLクエリで異常検知ルールを作成
- 利点:Splunk経験は求人で高評価につながる
(5) クラウド環境(AWS / Azure / GCP)
- 特徴
- 各クラウドのセキュリティログを実際に触れる
- AWS CloudTrail、Azure Sentinel、GCP Security Command Center
- 演習例
- 不審なAPIコールをCloudTrailで調査
- Azure SentinelでImpossible Travelを検出
- 利点:クラウドSOC案件の需要が急増しており、即戦力につながる
3. 学習の進め方(ロードマップ例)
- TryHackMe:SOC入門レベルを体験
- Blue Team Labs:実務に近い演習を反復
- ELK or Splunk:実際にログを集めて検索・可視化
- クラウド環境:AWS/Azureのログ監視を実習
👉 「机上の知識」から「手を動かす」へ進むことで、面接でも「実際に演習してます」と自信を持って話せるようになります。
4. まとめ
- SOCアナリストを目指すなら ハンズオン演習は必須
- TryHackMeやBTLOで「実戦シナリオ」を練習
- ELKやSplunkで「ツールの使い方」を習得
- クラウド環境でも演習して「最新のSOC」に対応
コメント